PT-2021-19952 · Unknown+1 · Squirrelly+1
Agustin Gianni
+1
·
Publicado
2021-05-14
·
Atualizado
2023-05-22
·
CVE-2021-32819
CVSS v3.1
8.0
Alta
| Vetor | AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Squirrelly anteriores à 9.0.0
Descrição
O Squirrelly é um mecanismo de modelos implementado em JavaScript que funciona imediatamente com o ExpressJS. Ele combina dados puros de modelos com opções de configuração do mecanismo por meio da API de renderização do Express. Ao sobrescrever opções de configuração internas, pode ser desencadeada a execução remota de código em aplicativos a jusante.
Recomendações
Para versões anteriores à 9.0.0, atualize para a versão 9.0.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à API de renderização do Express para minimizar o risco de exploração.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Express.Js
Squirrelly